李有兴 || 区块链应用中个人信息删除更正权研究

简介：区块链技术的去中心化、不可篡改、不可删除等特性与法律赋予的个人信息保护的删除、修改要求存在冲突。 在区块链技术的应用场景中，存在客观上无法删除和更正或不适合删除和更正的情况。 迫切需要提出替代措施来实现个人信息保护中的删除权和更正权。 明确数字技术下删除的概念和效果标准，以“逻辑删除”为主导标准，与个人信息无关、不可追溯、不可识别的删除效果标准。 提前对区块链技术的应用场景进行合理评估，重点关注个人信息删除权和更正权的实现。 合理阐释个人信息保护中删除权和更正权的内涵和要求，使区块链技术应用与个人信息删除权和更正权相协调。

作者简介：李有兴，男，浙江缙云人，教授，博士。 浙江大学金融科技研究院副院长，浙江大学AFR金融与经济犯罪研究中心主任、首席专家，中国法学会证券法研究会副会长，研究员方向为商法、经济法、金融犯罪。

基金项目：浙江省哲学社会科学规划重点项目（21WZQH02Z）； 国家社科基金重点项目（19AFX020）

2019年10月，中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习。 学习期间，习近平总书记强调，要把区块链作为核心技术自主创新的重要突破口，加快区域区块链技术推广。 区块链技术与产业创新发展。 区块链技术已成为未来信息技术发展的重要方向，相关技术应用已扩展到数字金融、物联网、智能制造、供应链管理、数字资产交易、个人信息处理等领域。 例如，基于区块链技术的征信系统，依法采集、处理、公开自然人的信用信息，提供信用报告、信用评估、信用信息咨询等服务。 区块链被认为承载着解决个人信息使用的伟大使命，在推动信息创新的同时，能够有效解决个人信息保护问题。 但区块链技术去中心化、不可篡改、不可删除等特点，给《民法典》、《个人信息保护法》等法律规定的个人信息删除和更正带来了技术难度。 个人信息保护中删除权和更正权的实现纠纷。 例如，疫情期间，为有效解决人员管理、登记、案件溯源等问题，相关部门通过区块链将演员的活动信息、健康信息、访客行程等个人信息“上链”系统形成居民行踪。 ，应用于健康码生成、病例溯源排查等疫情防控工作。 然而，一旦个人信息“上链”，个人身份、健康等信息的删除和更正就会成为问题。 若涉及个人隐私和敏感信息，也可能构成对当事人合法权益的侵犯。 2021年8月20日通过的《个人信息保护法》第四十六条、第四十七条赋予个人信息删除、更正的权利，个人有权要求个人信息处理者更正、补充、删除相关个人信息。 在区块链技术广泛应用的背景下，如何充分保障个人信息删除权和更正权的有效实现，成为亟待解决的法律问题。

一、个人信息删除权与区块链技术不可擦除性的矛盾

区块链技术在写入和读取数据的安全性、透明性和加密性方面具有优势，但区块链的不可撤销性、可追溯性、删除和更正个人信息的权利也存在冲突。 在数字技术时代，客观上，个人信息无法删除或不适合删除或更正。

Victor Mayer-Schönberg认为，由于数字技术和全球网络的发展，遗忘已成为人们的例外，而记忆已成为常态。 大数据时代，每个人都将被数字化，进入数字版的“正式监狱”，时刻处于监视之中。 在互联网时代，个人信息一旦在互联网上大量传播，理论上很难彻底删除或更正。 由于 Internet 的性质，即使信息已被删除，该信息的副本仍可从缓存或镜像站点（例如 Web 快照）获得。 即使用户有权要求从这些二级站点上删除信息，用户也很难确定控制和管理这些副本的 ISP。 对于网页快照等高速缓存，用户或许可以通过搜索引擎公司提供的线索准确定位信息文案的服务商，而搜索引擎公司一般都愿意配合以避免承担责任. 但对于很多镜像站点来说，用户很难追踪，搜索引擎公司也没有相应的权限，更不可能全面追踪到所有的镜像站点，尤其是当这些站点的服务器都设置在外面的时候域。

此外，区块链技术也有其特殊性。 在非许可链（公链）或其他开放式区块链系统中上传的个人信息无法被客观地删除或更正。 以比特币、以太坊为代表的非许可链（公有链）应用在数字货币、智能合约等领域发挥了巨大的作用。 由于非许可链是一个典型的去中心化分布式记账系统，它是一个交易驱动的状态机（state machine）。 其特点是全网节点共同维护一个账本的状态，包含交易信息的区块必须由系统获取。 只有网络中大多数节点的认可才是“合法”和有效的。 任何对区块信息的篡改都不会被认为是“合法的”，因为它不同于总账的状态，从而保持了整个网络状态的一致性和不可篡改性。 与联盟链、私有链等许可链不同，以公链或其他区块链系统为代表的非许可链具有开放特性，对所有同意区块链协议的网络节点开放，任何节点都不能直接控制区块链系统。 区块链信息。 由于系统的开放性，这些节点可能来自世界各地，彼此互不认识，大部分甚至是匿名的。 依靠共识机制删除和更正区块信息更是难上加难。 这意味着一旦相关的个人信息被写入区块并“上链”，直到参与区块链的最后一台服务器被销毁之前，这些信息都无法被删除或更正。 事实上，在区块链上发布的个人信息就像传统纸质媒体上的信息一样。 即使报刊侵犯了个人信息，也很难摆脱，因为它已经被广泛传播，已经深入千家万户。 完全删除或更正。

从计算机技术实现的角度来看，区块链的不变性是相对的。 事实上，没有任何信息是绝对不可修改或不可删除的。 一个典型的例子就是以太坊 The DAO 事件后采取的硬分叉措施。 黑客利用以太坊上 The DAO 项目的代码漏洞窃取了大量以太币。 事发后，以太坊开发团队通过硬分叉的方式强行回滚了部分账户状态，使黑客利用漏洞转出交易的区块无效比特币属于典型的公有链，找回了丢失的以太坊。 但是，在以太坊等非许可链（公有链）上对区块信息的任何修改或删除，也必须遵守非许可链去中心化的基本共识规则。 以太坊开发团队尝试通过硬分叉的方式回滚交易信息，必须得到系统中51%以上算力节点的认可。 事实上，85%的以太坊算力节点响应并支持开发团队的硬分叉呼吁。 即使通过软分叉修改区块链的验证条件，防止相关信息被后续区块检索，也必须得到区块链网络中绝大部分算力节点的支持。 换句话说，去中心化的特性意味着区块链系统中信息的删除和更正必须以去中心化的方式进行，而不是由开发者或节点来决定。 因此，非许可链（公有链）上的信息删除和更正是有限制的。 如果得不到51%以上算力节点的支持，则无法实现删除和纠错措施，此条件的实现将随之而来。 随着区块链网络节点数量的增加，它变得越来越困难。 此外，此类分叉措施还存在客观上无法彻底删除相关个人信息的情况。 除非所有节点都同意在新链上分叉挖矿，只要部分节点不同意分叉，继续在另一条分叉链上挖矿，相关个人信息将继续存在于这条分叉链上（如以太坊ETH的分裂和以太坊经典ETC），客观上根本无法删除和更正。

删除和更正这种成本极高且不合适的情况在权限链中更为常见。 所谓不当删除或更正，是指相关个人信息在技术上客观上可以删除或更正，但由于技术或网络服务的特殊性，单纯删除或更正或补充相关信息将大大增加社会成本，超出保护范围的权利。 合理的限度。 事实上，区块链技术的发展已经提出了几种在区块链应用中删除和更正个人信息（或类似程度）的技术方案。 比如上面提到的交易记录回滚和分叉，就是最常见的删除方式，可以通过用新的区块信息替换旧信息来进行修正。 技术方案虽然可以满足自然人删除、更正个人信息的要求，但也面临着巨大的社会成本。 以最常见的联盟链为例，在联盟链中以回滚的方式删除或更正个人信息，首先要解决记账权节点如何达成共识的问题。 联盟链虽然可能有发起人、领导者，甚至有大规模的全节点和服务器集群，但联盟成员中没有一个能直接控制区块链上的数据信息，可以任意删除和修改相关信息，否则就失去了联盟的意义。该联盟应用区块链技术解决信任问题。 因此，在联盟链上删除或修改个人信息首先需要解决共识问题。 任何专断、中心化的控制都会背离区块链技术本身的价值，动摇区块链技术应用的基石。 其次，如何处理关联交易和时间戳是删除和更正特定个人信息的最大成本。 在区块链中，每个区块都包含着大量的信息。 个人信息和其他交易信息被打包成一个区块，通过某种形式的哈希算法得到一个哈希值。 它将包含在下一个区块的区块头中，从而形成一个相互连接、相互验证的“默克尔树”（merkle trees）数据结构。 任何对区块中信息的删除或修改，都将不可避免地影响到其他区块。 片。 另外，每一个新区块的产生都会被打上时间戳，区块链就是这样一个由时间顺序排列的、相关的区块组成的链条。 任何删除或更正区块信息的行为都必须改变前一个区块的哈希值、当前区块的目标哈希值、默克​​尔根、时间戳、随机数和交易信息，否则将导致整个区块链的混乱和崩溃系统。 上述技术特征意味着联盟链删除、更正个人信息存在巨大的外部性，会损害其他使用区块链技术的客户的合法权益。 区块链技术的应用规模越大、范围越广，信息块被删改的时间越长，外部性越大，社会成本就越高。

二、区块链技术与个人信息删除、更正权​​冲突的原因

区块链技术与个人信息保护的冲突，是技术发展需要与法律制度互动的最新体现。 具体而言，区块链技术的应用之所以与个人信息删除更正权的保护相冲突，是因为立法思路集中、删除更正概念模糊、区块链技术法律考量不当等法律原因。 应用和其他技术原因。

（一）区块链技术去中心化与个人信息删除立法集中化的矛盾

关于个人信息保护的法律规定比特币属于典型的公有链，各个国家和地区的立法思路大体一致，均源于单一、集中的信息和数据控制者的前提。 何源（2020）认为，就个人信息和承载个人信息的数据载体而言，至少有一个自然人或法人是个人信息或数据的控制者或处理者，因此信息权益主体可以直接向控制者或处理者报告删除和更正。 例如，欧盟于2018年颁布的《通用数据保护条例》（General Data Protection Regulation，GDPR）从主体的权利和数据控制者的义务等方面详细规定了数据控制者的义务，以实现数据保护。 责任。 数据控制者和数据处理者是欧盟GDPR相关规定的核心，是保护数据主体权利的主要义务主体。 数据控制者是数据保护的主要责任承担者，处理的个人数据信息和隐私保护问题最终应由数据控制者承担。 我国《网络安全法》将保护个人信息权益的义务强加于“网络运营者”，将收集、使用个人信息的网络运营者认定为信息控制者； 《民法典》第1037条使用“信息处理者”为义务主体；《个人信息保护法》为“个人信息处理者”。可见三部法律的基本思想是相同的，即即，保护个人信息权益的主要义务和法律责任，由对个人信息处理目的和方式具有决定权的法律主体承担。

无论是欧盟的GDPR还是我国的个人信息保护立法，都只包含了中心化的数据处理结构，而没有考虑到区块链分布式多中心而不是单一决策者的去中心化技术特点。 欧盟GDPR将“数据控制者”定义为单独或与他人共同决定处理个人信息的目的和方式的自然人、法人、行政机构或其他组织。 我国《个人信息保护法》第七十三条将“个人信息处理者”定义为自主决定个人信息处理目的和方式的组织和个人。 两者相似，都强调对信息处理目的和手段的决定性作用，但这种对个人信息处理的决定性作用在区块链技术体系中很难建立。 由于立法没有考虑区块链技术应用中缺乏中心化主导控制者和处理者这一事实，传统的立法思维设定了个人信息删除和更正的要求，最终导致区块链技术的应用和应用。合法的删除权，不一致和冲突的有权更正。

（二）删除法律概念和删除标准模糊

删除权是个人信息数据被不当获取或使用时的救济制度的体现。 目前，删除权并没有统一的定义，立法上也没有法定术语。 国内学者使用删除权、消除权、被遗忘权等表述。 个人信息保护领域对删除权的规定体现在民法典第1037条：“自然人可以依法向信息处理者查阅、复制其个人信息；提出异议并要求采取必要措施的自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权要求信息处理者删除及时处理。” 《网络安全法》四十三条也赋予个人要求网络运营者删除信息的权利。 《个人信息保护法》第四十七条更加明确地规定了行使删除权的条件。 但是，对于“删除”这个最为关键的法律概念，《民法典》、《网络安全法》、《个人信息保护法》都没有给出明确的定义，《数据安全法》也不包括数据删除和更正。 字体。

“删除”的法律概念可以从删除的对象和删除的方式两个层面来理解。 就删除对象而言，也是一个“删除什么”的问题。 有两种截然不同的声音：一种是删除权的客体是数据，要求对承载个人信息的数据载体进行物理删除； 另一种是删除只需要对个人信息进行逻辑删除，并不一定指向数据的物理删除。 对于删除方式，即“如何删除”的问题，也有两种看法。 第一种观点认为，删除权是指数据，这种删除基本上等同于“擦除”。 在实现方式上，一般有物理破坏、格式化、覆盖、加密擦除四种。 删除的结果指向数据生命周期的结束。 EU GDPR下的删除权是指“个人数据”（data）以及与其相关的任何链接、副本或副本。 删除的具体表述是“擦除”而不是“删除”。 第二种观点认为，删除权指的是个人信息，没有必要完全擦除数据。 任何能够使数据不再反映个人信息、与个人脱节的技术手段均属于删除。 我国《信息安全技术个人信息安全规范》认为，删除是指“将个人信息从实现日常业务功能所涉及的系统中移除，使其处于无法检索和访问状态的行为”，并且不需要完全擦除。 数据。 删除标准的模糊性在学术界和业界引起了诸多争议。

(3)纠正法律概念和实现路径的模糊性

个人信息保护法规定的个人信息更正权，本质上是一种保护个人信息完整性的手段。 更正权的行使必然与个人信息权益相关联。 《民法典》赋予自然人要求及时更正个人错误信息的权利，即更正以个人信息存在错误为前提。 所谓个人信息错误，是指记录的个人信息与实际情况不一致的情况，即记录的个人信息未能准确反映自然人的真实情况，包括自然人的姓名、出生日期等。出生、身份证号码、生物识别信息、地址、电话号码、电子邮件地址、健康信息、行踪信息等。

更正常与删除并列，多用“删除或更正”来表达，但更易被忽视。 更正似乎是一个不需要过多解释的概念，以至于我国《信息安全技术公共和商业服务信息系统个人信息保护指南》和《信息安全技术个人信息安全规范》只单独定义了删除而没有订明任何更正。 具体意义。 在现实生活中，更正个人信息远比删除更常见。 《网络安全法》、《民法典》和《个人信息保护法》仅规定了个人享有的更正权，但并未给出更正方式的法律定义和实施。 EU GDPR第16条规定了“更正权”，只是举例规定数据主体有权要求控制者补充其个人信息“包括提供补充声明”。 给出更详细的定义； 美国《加州消费者隐私法》（California Consumer Privacy Act，CCPA）根本没有赋予消费者更正个人信息的权利。 事实上，更正的技术实现方式比删除更多样化、更复杂，相关法律概念的模糊性也更大。 按照一般的语义解释，更正是指改变原始信息。 技术实现路径有三种：一是用新信息覆盖原有信息，二是删除原有信息发布一条新信息，三是不删除原有信息直接发布一条新信息（并注明替换原始信息）。 有资料）。 由于法律没有明确更正的内涵和外延，也没有规定各种更正技术路径的有效性标准，因此现实中出现了很多涉及个人信息更正的纠纷。

（四）区块链技术在个人敏感信息领域的不当应用

区块链与现行个人信息保护立法发生冲突的主要原因之一是，各国现有的个人信息保护立法都是为一个中心化的特定实体控制的数据治理结构而设计的，而区块链技术的应用分布式数据治理模式被不同程度地使用。 中国、美国和欧盟的立法最初并没有预见到区块链技术的广泛应用，也没有充分理解不同区块链应用在数据治理方面的差异。 然而，在承认现有个人信息保护立法与区块链应用之间存在矛盾关系、立法滞后于技术的同时，也必须承认，在当前对区块链技术的追求中，不断扩大的区块链技术应用已经部分偏离了技术的核心功能，未经评估在涉及个人隐私和敏感信息领域使用区块链技术，超出保护个人信息的合理限度，导致个人信息删除权和更正权难以实现。

在个人信息密集的领域，如果没有相应的技术保障信息的真实性和准确性，区块链技术尤其是公链技术的应用将是一个非常危险的区块链技术应用场景。 这是因为这种应用场景注定难以保障当事人个人信息删除和更正权的实现，从而给自身带来巨大的法律风险。 特别是在可能涉及个人敏感信息和隐私信息的领域，更不能滥用区块链技术。 《个人信息保护法》第二十八条规定：“个人敏感信息是指一旦泄露或者被非法使用，可能侵犯自然人人格尊严或者危及人身和财产安全的个人信息，包括生物识别、宗教信仰、具体身份、健康状况、财务账户、行踪等信息，以及未满14周岁未成年人的个人信息。” 因此，基于区块链技术不可删除的特性，其不分场景的随意应用造成了差异，区块链技术与删除权、更正权冲突的原因。

3. 区块链技术与个人信息删除更正规定的衔接

区块链技术与个人信息删除和更正的协同，需要在保护个人信息的共同价值目标基础上，对法律规则进行合理解释，并运用技术手段。 通过对现有个人信息保护删除权和更正权的立法目的解读，对相关法律进行“回归本源”解读，回应区块链技术与个人信息保护法律的共同价值基础，使删除权个人信息保护和更正权可在出于法律目的解释的范围内合理适用。

（一）删除权和更正权立法目的在于保护个人信息权益

《民法典》、《个人信息保护法》等法律规定，删除权和更正权的立法目的是为了有效保护个人信息权，其本质是保护人格权。 个人信息的保护是主体在个人信息处理过程中的权利不受侵犯，包括人格尊严、自由和平等价值，而不是对个人数据的控制权、存储权或决定权。 个人对数据没有控制权、存储权和决定权，自然也就没有删除数据的权利。 因此，删除应指的是“个人信息”，而不是携带信息的数据。 个人信息与数据、内容与载体形式相辅相成，难以完全分离。 也正因如此，学术界对“删除内容”和“删除方法”的删除权纠缠不清，也导致了人们对删除权和更正权的区分。 关于区块链技术在应用中实现的可能性的问题。 In terms of legislation, the premise of exercising the right of deletion is that "a natural person discovers that the information processor has violated the provisions of laws, administrative regulations, or the agreement of both parties to process his personal information", and the premise of exercising the right of correction is the discovery of errors in relevant personal information. Therefore, the right of deletion and correction claimed by the parties is to protect the interests of their personal information content, not the material interests and property interests of the data. The interests of exercising the right of deletion and correction mainly point to the content of the personal information of the parties concerned, because there are omissions in the relevant information, errors need to be corrected, or the content is detrimental to the personal dignity of the parties concerned. It is the connection between the content of personal information and the subject that requires everyone to respect the dignity and freedom of the individual when processing personal information, and to prevent the processing of personal information from threatening and infringing on the rights and interests of the subject.

In the application scenarios of the right of deletion and correction, the deletion and correction demands of the parties point to the content of personal information not being dominated by others (illegal, unauthorized or withdrawal of authorization), so as to reduce the scope of personal information being known and circulated. In fact, the parties are not concerned with the integrity or form of the data. As far as remedies are concerned, when the parties make certain requests for the data itself in order to protect personal information, the ultimate goal should be to achieve "protection of personal information", regardless of the specific processing method of the data, as long as the data as a carrier is no longer Just reflect personal information. Data rights holders can still enjoy legally protected data rights for data that no longer has personal information identifiable content.

(2) Appropriate interpretation and differentiated implementation of the right to delete

The legal basis of the right to delete lies in the rights and interests of personal information rather than data rights, and there may be differentiated requirements and realization paths. The US "Data Brokers Accountability and Transparency Act" stipulates that the right to delete only requires the obfuscation of data containing personal information, and does not require the complete physical deletion of the original information. In the EU's first "right to be forgotten" case, the Spanish Google case, the court ordered Google, the operator of an Internet search engine, to remove links to web pages from search results based on name searches. No information is removed at source, rights only affect search results obtained based on an individual's name, and do not require removal of links indexed by search engines. Original information can still be obtained by using other search terms, or by going directly to the publisher's original material. The 2012 "Report on the "Right to Be Forgotten" of the Security Department of the European Network Information Security Agency" defines the "right to be forgotten" as: the deletion of certain information that cannot be restored even with the help of technology; unless unauthorized third The third party illegally decrypts and allows the possession of encrypted personal data; as long as it does not appear in the search results of the published index or search service, the choice to save personal data is recognized. Both the verdict of the Google case and the content of the European report indicate that deletion is "all reasonable measures" imposed on the obligor, rather than a single physical deletion.